2025年《人工智能治理标杆案例分析》中文版上线！

我们认为，2025年是将人工智能治理作为企业战略差异化因素的元年，我们期望看到企业为管理人工智能风险做出切实的承诺并采取行动——借鉴网络安全和隐私风险管理的最佳实践，同时融入针对人工智能特定风险的新的独特的方法。

应对人工智能开发和部署复杂性的组织越来越多地在思考，人工智能治理如何成为实现其人工智能战略目标赋能。因此，如何设计和建立人工智能治理方案已迅速成为各组织的首要战略重点。

本报告梳理了使得人工智能治理方案取得成功的关键因素——人员、人员的技能和培训、工具以及流程——如何为人工智能治理的战略功能和组织结构提供支持。报告深入探讨了各组织处理、设计和实施人工智能治理的具体实践，并确定了关键且常见的问题。

第一部分：人工智能治理的设立

案例研究：Mastercard公司的人工智能治理方案

案例研究：TELUS公司的人工智能治理方案

案例研究：波士顿咨询集团的人工智能治理

第二部分：实现人工智能治理的专业化

案例研究：Kroll公司的人工智能治理方案

案例研究：IBM公司的人工智能治理方案

第三部分：领导力与问责制

案例研究：Randstad公司的人工智能治理方案

案例研究：Cohere公司的人工智能治理方案

在接受调查的组织中，77%的组织目前正在开展人工智能治理，而已在使用人工智能的组织中，这一比例跃升至近90%。重要的是，尚未使用人工智能的组织中有30%表示正在开展人工智能治理，这或许揭示了一种普遍存在的“治理先行”的优先策略，即在使用人工智能之前确保良好的治理。一些案例研究也支持这一点，表明各组织在将人工智能应用于较小规模的用例之后、将其作为战略重点之前，会实施正式的人工智能治理方案。

本报告显示，不存在单一的治理路径；每个组织在决定如何制定其人工智能治理方案时，都需要考虑自身目标和独特情况。尽管各组织可以利用现有的隐私和合规职能来支持人工智能治理，但人工智能带来了独特风险，需要各职能部门之间进行协作。人们认识到，人工智能系统存在独特风险，需要计算机科学和模型风险管理等领域的专业知识。虽然许多现有的隐私和网络安全风险，如模型漂移、虚构信息或幻觉等，可以通过数据治理和网络安全风险管理来解决，但衡量人工智能系统的社会技术风险将需要额外的人工智能治理措施。由学术界、私营企业的人工智能从业者以及标准制定机构共同制定的具体规范、标准和基准，对于创建一个健全的人工智能治理和人工智能保障生态系统至关重要。成熟的人工智能治理方案的其他标志还包括设立监督机构以及建立清晰的沟通渠道，包括汇报机制、内部人工智能知识普及培训以及在整个组织内进行信息传播。

这七个案例研究凸显了从大型知名跨国公司到专注于人工智能的新兴公司在方法上的多样性。这些公司意识到并正在为履行法规义务做准备。在将一个案例与另一个案例进行比较时，出现了一些共性，比如都设有风险评估和缓解流程。对于许多组织而言，这一流程已成为他们构建对人工智能系统进行编目、分析和确保合规的方法的核心部分。

Mastercard公司是支付行业的一家全球性科技公司，其标志随处可见，很可能就在我们许多人的钱包里的卡片上。该公司的商业模式以处理交易数据为基础，长期以来一直积极投身于数据隐私和网络安全领域。银行业和金融服务行业历来受到高度监管，这意味着该公司已习惯紧跟监管要求并做好合规工作。鉴于Mastercard的业务覆盖范围和规模，其治理体系必须实现规范化且协调良好，以达到最高标准。

其人工智能治理工作源自隐私和数据战略职能部门。在最初为符合《欧盟通用数据保护条例》而开展工作时，这两个职能部门协同合作，并很早就认识到人工智能的战略重要性，以及构建人工智能治理框架的必要性。2022年，经过近五年的紧密合作，这些团队被整合到一个集中且协调的人工智能治理方案中。

这个核心人工智能治理团队拥有具备多种不同技能的专家，包括律师、合规专员、政策专家和数据科学家，并与其他团队（如技术团队和企业安全团队）密切合作。该团队通过人工智能风险评估和缓解流程与每个部门合作，该流程会对公司内不同的人工智能项目进行筛选。这一流程被纳入公司更大的风险管理框架中。团队将精力集中在使用个人信息或可能对人员、社会或公司声誉产生影响的高风险案例上。

项目的筛选和优先级确定以Mastercard公司的政策为指导。在人工智能风险评估和缓解流程中，会根据所识别的风险，按需引入其他团队的专家。任何被认为具有潜在高风险的事项都将由人工智能与数据委员会进行审查，该委员会由来自不同职能部门的高级领导组成，并由首席隐私官和首席人工智能与数据官共同担任主席。核心团队与该委员会一起，就降低风险所需的具体行动向不同职能部门提供建议。例如，如果存在潜在的知识产权风险，将引入一名知识产权律师进行咨询。该团队可能需要核心团队职责范围之外的其他领域（如网络安全、技术或反垄断领域）的指导。团队已开始增加当前人工智能治理团队或其他职能部门所不具备的技能，招聘具备新技能的员工或提升现有员工的技能。

TELUS公司是一家加拿大通信技术提供商。该公司最近通过提供连接服务和技术实现业务扩张并实现业务多元化，推动产生有意义的变革，涵盖从变革医疗保健到使全球食品供应更具可持续性等方面。

TELUS公司的创新文化有助于其采用生成式人工智能。公司，尤其是其数据与信任办公室，利用人们对生成式人工智能的浓厚兴趣进行安全创新，摒弃那种认为需要在创新与安全之间进行权衡的观念；要实现良好的创新，就需要保障安全。鉴于数据和人工智能技术产生的广泛影响，公司通过让每位团队成员参与数据和人工智能素养培训，并提供提升技能的额外机会，确保其工作反映社会的多样性，这对个人、企业以及更广泛的社会都有益处。

随着时间推移，数据与信任办公室与技术团队合作开发了公司的软件平台，使员工能够使用各种经过批准的工具。外部供应商开发的人工智能模型可在该平台上使用，但由TELUS公司进行管理和控制。输入到模型中的任何数据都将通过托管模型的自有平台以及与模型供应商达成的协议得到可靠保护。其首个面向公众的生成式人工智能工具，即一款客户支持工具，是全球首个通过国际标准化组织“设计时考虑隐私”认证的生成式人工智能工具。数据与信任办公室正在努力获取更多人工智能认证。

波士顿咨询集团为全球客户提供管理咨询服务和技术解决方案。为管理其交付给客户以及在内部部署的人工智能系统所带来的风险，该集团制定了一套全面的风险管理流程。

为管理这一流程，波士顿咨询集团希望拥有一个集成工具，以帮助推进其从构思到交付的人工智能风险管理工作。对市面上现有的解决方案进行广泛的基准测试后发现，没有现成的工具能满足其需求。因此，该公司决定开发一个工具来帮助管理各种数字风险，于是有了这个风险管理工具。该工具对所有内部项目和客户项目进行分类整理。在项目启动前，人工智能风险管理流程就已开始，先针对用例制定初始风险状况，为顾问提供对每个潜在项目的风险评估、缓解措施以及防护措施要求。一旦项目推进，就会进行全面的影响评估。波士顿咨询集团会评估业务、技术、信息安全、数据保护、法律以及负责任的人工智能风险。所识别出的风险会告知团队在开发阶段必须实施的缓解措施和防护措施。

在开发高风险用例时，团队会格外小心。这些高风险用例包括法律定义的高风险人工智能系统或重要决策系统，此外还包括特别定义的用例，例如可能涉及儿童的人工智能用例。波士顿咨询集团的负责任的人工智能政策指导风险管理流程，包括确定哪些用例被归类为高风险用例。风险管理流程和负责任的人工智能政策均由首席人工智能伦理官和负责任的人工智能委员会监督，该委员会由来自整个组织的固定和轮值的高级管理人员组成，为所有高风险用例提供审查和指导。

在此过程中，人工智能团队以及其他职能团队的专家会使用该工具。在风险管理流程的不同阶段，来自工程、信息安全、数据保护、法律以及风险与合规职能的专家会评估风险，并提供防护措施和缓解措施，这些都会记录在风险管理工具中。通过多个团队使用风险管理工具进行互动与协作，波士顿咨询集团能够就如何定义风险以及采取何种行动达成共识，并为项目的整体风险状况建立单一的事实来源。该工具中存有公司项目的基本真实信息，包括围绕风险和缓解措施的所有相关数据。在开发阶段识别出新风险并实施缓解措施时，相关职能团队会将这些更新记录在工具中。项目执行发起人可以实时查看正在开发的用例以及相关风险和缓解措施，从而能够跟踪风险状况的变化。还可以对系统卡片或其他项目文档进行格式化处理，并从该工具中导出。

随着世界各地更多监管人工智能的立法不断涌现，各组织可能会感受到更大的压力，需要采用正式且结构化的方式来进行人工智能治理。然而，新兴的法规并非促使企业建立自身人工智能治理方案的唯一动力。人工智能治理也可以成为企业发展的催化剂，提升品牌信誉，并为企业在管理不断演变的技术领域和监管环境时提供所需的确定性。识别并解决风险能够推动企业发展，特别是通过有效的人工智能治理为大量低风险人工智能应用场景降低风险的能力，从而为各种规模的企业释放效率、创造力和创新方面的潜力。通过对不同用例进行分类，并根据风险程度适当地加以处理，企业能够更快速地应用人工智能。

通过了解类似组织正在采取的措施，各组织可以对自身的人工智能治理方案进行基准测试，不仅可以调整自身项目，还能为不断增长的人工智能治理成熟度的相关知识体系添砖加瓦。人工智能是一项前沿技术，而人工智能治理仍是一个新兴领域，这需要随着时间的推移对不同的方法、流程和标准进行测试和评估。企业之间分享最佳实践和见解将有助于树立先例，并为那些寻求有效识别、管理和缓解与自身人工智能系统相关风险的公司创建切实可行且有意义的基准。